我今天主要讨论的安全设置之一是“限制root用户的远程登录”。 ,用于锁定未配置的Linux帐户连接失败的策略,该时间到期后,Linux帐户会自动断开配置。
限制root权限用户远程登录
限制root权限远程登录。可以让用户先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作,可以提升系统安全性。
1. 修改文件
/etc/ssh/sshd_config配置:
PermitRootLogin no
2. 重启sshd服务
service sshd restart
Linux未配置账户登录失败锁定策略
设置账户登录失败锁定策略,加大用户口令被暴力破解的难度。这样能有效避免暴力破解!
比如技术宅设置连续输错5次口令,账号锁定5分钟。
在进行此项安全加固工作前,请先检查PAM模块版本,搜索pam_tally2是否存在,如果pam_tally2存在,修改配置文件。【注意: 各系统配置不一,请根据当前系统进行适当配置,并仔细评估对系统的影响】修复方案(仅供参考,请勿直接配置):
centos
修改配置/etc/pam.d/password-auth(将配置添加到合适的位置):
auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300account required pam_tally2.so
ubuntu,debian
修改/etc/pam.d/common-auth,将以下参数放到合适位置
auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300
修改/etc/pam.d/common-accoun参数(将配置添加到合适的位置):
account required pam_tally2.so
Linux帐户超时自动登出配置
配置帐户超时自动登出,在用户输入空闲一段时间后自动断开。可以有效避免因为特殊情况账户一直登录避免别人误操作!修改
修改/etc/profile文件,设置定时账户自动登出时间
export TMOUT=180
Linux帐户口令生存期策略
口令老化(Password aging)是一种增强的系统口令生命期认证机制,能够确保用户的口令定期更换,提高系统安全性。修改文件/etc/login.defs,配置
PASS_MAX_DAYS 90
各位小伙伴,以下是我的一些处理方法,与大家共享。
今天上传了一个13kb的文件,提示磁盘已满,不能上传。df -h 查了一下,如下图:
磁盘满了
由于是开发环境,堆满了大量的日志没删,10g了,于是我删除了一些很久的日志,8g。奇怪的事情发生了,命令查看磁盘,依然是100%。linux还是跟windows区别挺大的么,windows我们删除了文件,马上就有磁盘释放了。想到的就是删除的文件并不能释放出磁盘(当时只是猜测),于是lsof | grep deleted 查了一下。
果断地把这些进程都kill掉了,哎呦喂,奇迹发生了,df -h 查看:
已经从100%降到了13%。问题解决了,于是找度娘查了下linux删除的机制,大致如下:
一个文件在文件系统中的存放分为两个部分:数据部分和指针部分,指针位于文件系统的meta-data中,数据被删除后(例如我们的日志文件),这个指针就从meta-data中清除了,而数据部分存储在磁盘中,数据对应的指针从meta-data中清除后,文件数据部分占用的空间就可以被覆盖并写入新的内容,之所以出现删除log文件后,空间还没释放,就是因为httpd进程还在一直向这个文件写入内容,导致虽然删除了log文件,但文件对应的指针部分由于进程锁定,并未从meta-data中清除,而由于指针并未被删除,那么系统内核就认为文件并未被删除,因此通过df命令查询空间并未释放也就不足为奇了。一般说来不会出现删除文件后空间不释放的情况,但是也存在例外,比如文件被进程锁定,或者有进程一直在向这个文件写数据等等,要理解这个问题,就需要知道Linux下文件的存储机制和存储结构。